해운업계 위협하는 사이버 공격

6월말 머스크라인·APM터미널 전산망 마비, 3주만에 완전복구 ‘정상화’
IMO ‘선박 사이버보안’ 의제 채택, BIMCO는 가이드라인 개정판 발표

6월말 세계 최대 선사 머스크라인을 강타한 ‘랜섬웨어’ 사태로 해운업계의 사이버 보안에 대한 우려가 확산되고 있다. IT신기술 도입에 선도적인 입지를 갖고 있는 머스크라인 마저 이번 사이버 공격에 뚫려 1-2주간 물류 전산망의 마비가 일어나자 업계는 충격적이라는 반응이다. 이에 IMO, BIMCO 등 국제해사단체들과 전문가들은 해운업계가 사이버 보안의 중요성을 인식하고 체계적인 안전관리시스템과 대응에 적극 나서야 할 때라고 목소리를 높이고 있다.

지난 6월 27일 전 세계가 랜섬웨어 ‘페트야Petya’에 강타당한 가운데 세계 1위 해운선사 머스크가 최대 피해 기업 중 하나로 밝혀져 충격을 주고 있다. 머스크는 이번 랜섬웨어 공격으로 인한 글로벌 전산망 중단으로 컨테이너 해운, 항만, 예선, 석유·가스 생산, 드릴링서비스 등 전 사업 분야에서 타격을 입은 것으로 나타났다.

이번 페트야 랜섬웨어 공격은 우크라이나와 러시아, 유럽, 미국의 기관 및 기업들을 타겟으로 발생했으며, 컴퓨터를 해킹해 암호화시킨 후 이를 풀어주는 대가로 금전 300달러를 비트코인(가상화폐) 형태로 요구하는 방식이다. 랜섬웨어는 몸값Ransom과 소프트웨어Software의 합성어다. 한국랜섬웨어침해대응센터에 따르면, 페트야는 기존 랜섬웨어와 달리 파일 자체를 암호화 시키는 것이 아니라, MFT(master file table)에 존재하는 파일별 식별 정보를 암호화하기 때문에 PC 내 로컬 백업중인 데이터는 모두 무용지물이 된다.

최근 전 세계를 대상으로 무차별적으로 발생하는 랜섬웨어 공격은 사이버 범죄의 주요 수익원으로 부상하면서 기업화되는 추세를 보이고 있다. 민감 데이터를 보유하고 있는 금융, 의료분야를 넘어 국가기반시설과 IoT까지 위협하는 랜섬웨어는 이번 머스크라인 사태를 계기로 하여 해운업계까지 타겟을 넓힐 것으로 예상된다. 랜섬웨어 공격은 이메일, 웹, P2P 등 다양한 네트워크 경로로 유입되며, 특히 기업 내부와 연결되는 이메일을 통해 가장 많이 퍼진다고 알려져 주의가 요구된다.

머스크 시스템망 중단에 3주간 복구작업 ‘정상화’

머스크그룹은 이번 사이버 공격으로 IT 및 통신인프라의 일부 피해가 발생함에 따라 모든 전산망의 가동을 중단하고 신속한 복구작업에 들어갔다. 특히 글로벌 전산망의 타격으로 머스크라인과 APM터미널, 포워딩 사업 운영에서 차질을 빚은 것으로 밝혀졌다. 미국, 인도, 네덜란드의 APM터미널의 항만은 작업이 중단되거나 일시폐쇄됐으며, 초기 공격 발생 직후에는 각 지사별로 전화와 이메일이 불통되어 전자업무가 아니라 오프라인 매뉴얼시스템으로 화물의 예약 및 선적작업을 진행해야만 했다. 화물의 부킹과 조회, 스케줄 확정 등에서도 고객 응대에 지연이 발생한 것으로 알려졌다.

머스크 측은 이번 공격으로 전산망의 마비에 따른 일시적인 데이터베이스의 손상을 입긴 했으나 다행히 선박운항과 선원안전, 항만 입출항 등에는 별 다른 타격을 받지 않았으며 최소한의 일정 변동으로 모든 화물을 적재, 하역을 완료했다고 설명했다.

이와 함께 머스크는 공격 발생 직후부터 현재까지 시스템 복구과정을 업데이트하며 시시각각 상황을 고객들에게 홈페이지 또는 트위터로 공지했다. 7월 19일 기준 머스크라인과 APM터미널의 주요 시스템망은 모두 복구되어 현재 정상적인 컨테이너 서비스가 진행 중이다. 이는 사이버 공격을 받은 지 3주만이다. 이후 머스크는 보안 업데이트를 통한 추가 보호 조치에 나섰다. 기존 안티 바이러스 소프트웨어가 새로운 유형의 악성코드 공격에는 효과적이지 않았다며, 추가적인 업데이트 및 패치를 진행했다는 설명이다.

이와 관련 덴마크의 해운사이버보안업체 사이버킬CyberKeel의 라스젠슨(Lars Jensen) CEO는 “머스크라인의 선박은 시간당 3,300teu를 운송하고, 시간당 290만달러의 매출을 발생시킨다”면서 “이번 랜섬웨어 공격이 시작된 직후 20시간 동안 최대 6만 6,000teu와 5,900만달러의 손실을 입었을 것”이라는 분석을 내놓기도 했다.

머스크 사태에 해운업계 사이버 보안 ‘경종’

머스크의 이번 랜섬웨어 사태는 그간 인식이 낮았던 해운업계의 사이버 보안 문제에도 경종을 울릴 것으로 보인다.

선사들 중 가장 높은 수준의 사이버 보안시스템을 갖춘 것으로 평가받은 머스크라인 마저 사이버 공격에 무너진 것을 통해 해운업계가 교훈을 얻어야 한다고 업계 전문가들은 지적한다. 사이버 보안에 대한 경영진의 인식을 높일 뿐 아니라 전체 안전관리시스템에 사이버 리스크를 포함시키고, 해상 및 육상 직원들에게 철저한 보안교육을 실시하는 등 사이버 보안 강화를 위한 대응책을 시급히 마련해야 한다는 것이다. 그렇지 않으면 사이버 공격의 타겟으로 제 2, 제 3의 머스크 사태가 발생할 것이라는 우려다.

사이버킬의 라스젠슨 CEO는 “해운선사들은 이번 머스크의 사례를 검토하여 앞으로 튼튼하고 회복력 있는 사이버 공격에 대한 대응방안과 시스템을 마련하는 것이 중요하다”면서 “앞으로 랜섬웨어 공격은 재차 시도될 것이며 이에 대응하는 백업 솔루션이 요구된다”고 지적했다.

온라인 플랫폼 포워더인 아이컨테이너iContainers 측은 “이번 사태는 해운업계에 주의와 경고를 내린 것과 같다. IT시스템은 출처가 불분명한 이메일의 클릭만으로 랜섬웨어에 감염될 수 있으므로 직원들이 더욱 조심할 필요가 있다”고 전했다.

선박 사이버 공격 발생시 ‘치명적’

전문가들은 이번 랜섬웨어 사태는 머스크의 일부 전산망에 대한 공격이었으나 실제 운항 중인 선박에 대한 사이버 공격이 발생할 경우 치명적인 영향을 가져올 수 있다고 우려한다.

오늘날 최신식 선박들은 대부분의 장치들이 IT 네트워크와 긴밀한 연결성을 갖는 스마트 선박으로 개발되다 보니 해커, 해적, 테러집단의 사이버 공격에 광범위하게 노출돼 있는 상황이다. 특히 전자내비게이션(AIS, ECDIS, GPS), 엔진 컨트롤, 화물 트래킹 등 주요 시스템의 해킹 위험성이 높아지고 있다.

선박의 사이버 공격에 대한 예측과 대응의 실패는 선사, 항만, 터미널 등에게 업무 중단 및 금전손실 등 사업적인 피해 뿐 아니라 더 나아가 특정지역의 해상 트래픽을 마비시키고 한 나라의 경제 및 안보에도 심각한 영향을 미칠 것으로 예측되고 있다. 이내비게이션 해킹의 경우 선박충돌로 이어져 선원의 안전을 위협하고 화물손실, 해양오염, 항만혼란 등을 야기할 수 있다. 최근 머스크 사태 외에 선박에 대한 직접적인 사이버 공격사례는 투자자 및 법적규제, 보험문제 등으로 인해 공식화되지 않은 것으로 알려졌다. <관련기사-해양한국 507호 ‘세계해운의 새 과제 사이버보안’>

“사이버 보안, 전체 운영리스크 큰 틀에 포함해야”

이처럼 사이버 공격에 대한 노출 위험성이 커지면서 국제해사단체를 중심으로 “선박의 사이버 보안은 전체 운영리스크의 큰 틀 아래서 시스템적인 방법으로 다뤄져야 한다”는 지적이 나오고 있다.

지난 2014년 국제해사국 IMB(The International Maritime Bureau)는 “해운공급망 분야는 해커들의 차세대 놀이터가 될 것”이라며 업계의 주의를 당부한 바 있다. 당시 IMB는 “최근 타 산업분야에 시스템을 마비시키는 사이버 공격이 발생하고 있다”면서 “해운업계는 공급망 시스템의 보안을 강화하는 등 사이버 리스크에 철저히 대비해야 한다”고 지적했다.

IMO(국제해사기구), BIMCO(발트국제해사협의회), ICS(국제해운협회), IACS(국제선급협회) IUMI(국제해상보험연맹) 등 국제해운단체들은 사이버 보안 논의를 본격화하며 국제적인 지침 마련에 나서고 있는 모습이다. 먼저 IMO 해사안전위원회MSC 회의에서는 사이버 위협의 새로운 변화에 대응하고, 적절한 보호조치를 개발하기 위해 지난 몇 년간 선박 사이버 리스크에 대응하기 위한 지침 마련을 논의해왔다. 이와 관련 지침서는 현재 BIMCO, ICS 등 산업계가 공동으로 개발하고 있다. 최종적으로 IMO는 올 6월 16일 런던에서 열린 98차 회의에서 안전경영시스템의 해상 사이버 리스크 관리분야 의제 MSC428(98)을 채택했다. 동 의제에 따르면, IMO 회원국들은 오는 2021년 1월부터 승인된 안전경영시스템에 ISM코드에 기반해 사이버 리스크 관리를 보장하는 시스템을 구축해야 한다.

BIMCO, 7월 사이버보안 지침서 최신 개정판 발간

머스크의 랜섬웨어 사태가 발생한 직후인 7월 5일 BIMCO와 해운워킹그룹은 ‘선박 사이버보안 가이드라인(The Guidelines on Cyber Security Onboard Ships)’의 최신 개정판을 발간해 주목된다. 첫 가이드라인은 2016년에 내놓은 바 있다.

동 개정판은 선박 사이버 공격에 대한 선주와 오퍼레이터들의 실용적인 대응방안을 다루었다. 특히 보험 이슈와 효과적인 네트워크 분리 방안, 선박-육상간 인터페이스 관리방안 등이 새롭게 추가됐다. IMO가 의제로 채택한 사이버 리스크 관리분야와 연계된 동 지침서의 5개 주요 원칙은 △사이버 보안사고의 유형 확인 및 규정 △사이버 사고 단계별 취약요소 식별 및 예방 △사이버 사고의 시기적절한 대응 △모든 시스템의 복구 등이다.

BIMCO에 따르면, 개정판의 ‘비상계획’과 ‘대응 및 사이버 공격복구’ 챕터는 실제 선박과 네트워크 분리를 경험한 선주의 팩트 사례를 중심으로 새롭게 쓰여졌다. 원격제어 조건에서 선박의 방어 시스템 공격에 대한 대처방안도 포함됐으며, 보험에 관한 새로운 하위챕터가 수록되어 사이버 공격 이후 보험 커버에 대한 부분도 다루었다.

BIMCO 관계자는 “선상 사이버 공격은 현재 글로벌 해운업계의 떠오르는 핫이슈이다. 개정판 가이드라인은 선사들이 어떻게 사이버 범죄에 노출되고, 어떻게 리스크 기반 전략을 마련할 수 있는지에 대한 가치 있는 정보를 담고 있다”고 설명했다.

GARD “인력-프로세스-IT시스템, 사이버 안보문화 구축”

노르웨이의 선박보험회사인 가드Gard의 최신 보고서에 따르면, 지난 2013년 이래 일부 회원사와 고객들이 사이버 범죄의 희생양이 되어왔다. 해커들이 회사의 이메일 계정으로 접근해 악성바이러스를 침투시켜 은행계좌를 변경하는 피싱범죄가 주를 이루었다는 설명이다.

가드는 “사이버 보안을 단순한 IT문제로 보는 것은 선박의 안전운항을 그저 메인 엔진문제로 치부하는 것과 같다”면서 “앞으로 사이버 보안은 선박보안 전문가나 IT 부서에게 위임하기 보다 고위 경영진의 인식에서부터 시작되어야 한다”고 밝혔다. 현재 가드는 회원사들을 위한 IT 내부 보안경영시스템을 개발하고 있는 것으로 전해졌다.

또한 선사의 고위경영진에서부터 선원에 이르기까지 인력과 프로세스, IT시스템의 개선을 통한 선박 사이버 문화를 정착시켜야 한다고 강조했다. 인력에 대한 훈련과 교육으로 조직의 모든 단계 리스크를 관리해야 하고, ISPS나 ISM에 보안 및 안전 리스크와 관련한 선상 사이버 시스템을 회사 정책으로 개발해야 한다. 또한 전 단계의 적절한 방어를 위해 방화벽, 바이러스 백신, 암호화 등의 IT시스템을 구축할 필요가 있다.

국내 해운업계도 예의주시, 보안 강화 움직임

머스크의 사이버 공격 발생 이후 국내 해운업계는 시장 상황을 예의주시하며 사이버 보안에 대한 대응을 한층 강화하려는 움직임을 보이고 있다. 국내 업계에 아직까지 직접적인 피해를 입은 사례는 없는 것으로 조사됐으며 오히려 이번 사태로 사이버 보안 인식이 한층 높아지는 계기가 될 것이라는 전망이 나온다.

머스크라인과 2M으로 협력관계를 맺고 있는 현대상선은 랜섬웨어 사태 직후 사이버 공격 비상대책반과 TF를 구성해 현장상황을 모니터링하며 신속한 대처에 나섰다. IT 시스템의 실시간 감시로 혹시 모를 피해를 최소화하기 위해 머스크 측과 수시로 정보교환을 하며 랜섬웨어 차단에 총력을 기울였다는 설명이다. 현대상선 관계자는 “관련 건이 잘 마무리되었고 당사에게 끼친 피해는 없었다”면서 “하루에도 수차례 내부회의를 거쳐 직원 보안교육을 하고 랜섬웨어 의심파일을 차단하며 윈도우와 백신업데이트를 통해 사이버 안보에 만전을 기하고 있다”고 말했다.

현대상선의 유창근 사장은 7월초 열린 영업전략회의에서 “최근 무차별적인 랜섬웨어 공격이 미국, 유럽을 넘어 아시아까지 확산되고 있다. 우리 모두가 이러한 불확실성을 사전에 철저하게 준비해서 피해가 발생되지 않도록 최선을 다할 것”을 임직원에게 주문한 바 있다.

한국선주협회는 유사시 랜섬웨어 피해 예방을 막기 위해 국내 외항해운업계를 대상으로 랜섬웨어 공격 대응 매뉴얼을 배포했으며 랜섬웨어 관련 조치사항을 지속적으로 안내하며 관련 정보를 제공하고 있다. 회원사의 랜섬웨어 피해 발생시에는 사이버침해대응센터(www.krcert.or.kr) 등 웹사이트를 참조해 복구방법 등에 대한 안내를 받도록 했다.

항만분야도 사이버 공격 예방 긴급점검

해운 뿐 아니라 항만분야에서도 사이버 보안과 랜섬웨어 예방을 위한 긴급점검에 나서고 있는 모습이다.

부산항에서는 7월 12일 부산지방해양수산청과 컨테이너 전용터미널 운영사간 비상대책회의를 열어 랜섬웨어 등 주요 사이버 공격에 의한 피해동향과 예방책을 토의하고 터미널운영시스템 장애발생 시 각 터미널운영사의 비상대응현황을 공유했다. 또한 해수부 DR센터 내 구축되어 운영 중인 항만운영정보시스템(Port-MIS)의 재해복구서비스 및 재해복구훈련 사례가 소개됐으며, 사이버 테러 및 재해 등으로 장기간 시스템 중단 시 지속적인 서비스 유지를 위한 재해복구시스템 구축 필요성에 대해서도 공감대를 형성했다.

부산해수청 관계자는 “항만의 경우 항만물류에 필요한 정보시스템 의존도가 높은 만큼 시스템 장애를 대비하여 각 터미널 운영사의 비상대응체계를 재정비할 것을 당부하고 해수부 DR센터 입주하여 터미널 운영사의 재해복구시스템을 구축할 경우 적극 협조할 방침”이라고 밝혔다.

울산항만공사UPA는 울산항 랜섬웨어 예방 체계를 강화하기 위해 사이버위기 대응을 위한 실전훈련과 함께 울산항 관련 선사 및 업체들을 위한 특별민원서비스에 들어갔다. 해수부와 공동으로 진행한 이번 훈련은 랜섬웨어 예방, 해킹침투경로 사전점검 및 사고대응, DDoS(분산서비스거부공격) 대응 등 총 9개의 시나리오에 따라 다양한 사이버위기 상황을 가정하여 진행됐다. 또한 울산항 관련 선사 및 업체들의 랜섬웨어 피해예방을 위해 예방조치 설명회, 랜섬웨어 의심신고 및 피해상담, 정보보안 교육 등 희망업체를 대상으로 정보보안 기술지원 및 상담을 지원하고 있다.

UPA 관계자는 “지난 6월 27일 발생한 머스크의 랜섬웨어 감염으로 인해 항만물류에 직접적인 피해가 있었던 만큼, 울산항 관련 선사 및 업체들의 사이버안전을 확보하기 위해 각종 지원을 아끼지 않을 것”이라며 “다양한 사이버 위기환경에서도 신속히 대응할 수 있도록 역량을 집중하겠다”고 전했다.

인천항만공사IPA도 최근 인천항컨테이너터미널 운영사 정보보안 담당자들을 대상으로 ‘IT정보 보안 수준향상과 사이버 위기 대응 간담회’를 열고, 비상연락망 및 모니터링 활동강화로 랜섬웨어 등 사이버 사고 예방에 힘을 모으기로 했다.

한편 전문가들은 랜섬웨어를 막는 최선의 방법은 ‘예방’이라고 강조한다. 한국랜섬웨어침해대응센터에 따르면, 메일과 웹 등을 이용하는 개인, 임직원의 랜섬웨어에 대한 인식과 보안수칙 준수 등에서 선제적 예방이 시작된다. 이와 함께 보안 인식 확대를 위한 지속적인 사용자 보안 교육이 요구된다. 더 나아가 보안 투자 확대를 통한 다계층 보안 방어 구축, 랜섬웨어 대응 솔루션 도입 등 보안 시스템을 통한 랜섬웨어 유입을 최소화하는 것과 빠른 사후대응을 위한 보안체계를 마련하는 것이 무엇보다 중요하다.

 

<국제해사기관·단체의 사이버보안 대응 현황>

IMO, 2021년 선박 사이버 보안 관리 보장

IMO는 오는 2021년 1월부터 전 세계 선박의 사이버 보안 관리를 보장하도록 하는 계획을 추진할 예정이다. IMO의 해사안전위원회(MSC, The Maritime Safety Committee)는 최근 몇 년간 선상 사이버 공격 위험에 대응하기 위한 지침개발을 주요 의제 중 하나로 논의해왔으며, 올 6월 16일 열린 98차 회의에서 안전경영시스템의 해상 사이버 리스크 관리분야 의제 MSC428(98)을 채택했다. 동 의제에 따르면, IMO 회원국들은 오는 2021년 1월부터 승인된 안전경영시스템에 ISM코드에 기반해 사이버 리스크 관리를 보장하는 시스템을 구축할 필요가 있다.

BIMCO, 선박 사이버 보안 지침서 개정판 발간

BIMCO는 머스크라인 사태 직후인 7월 해운업계 워킹그룹과 공동으로 ‘선박 사이버 보안 가이드라인(The Guidelines on Cyber Security Onboard Ships)’ 개정판을 발간했다.

이는 지난 2016년 1월 주요 국제해사단체들과 공동 발간한 가이드라인의 후속편으로, 글로벌 해운업계의 사이버 사고로 인한 안전, 환경, 커머셜 이슈 예방 등에 대한 실용적인 방안을 담고 있다. 동 개정판에는 효과적인 네트워크 분리 및 선박-육상 인터페이스 관리, 항만 기항 시 사이버 보안, 보험 문제 등이 새롭게 추가됐다. 이번 개정판은 IMO에서 논의된 해상 사이버 리스크 의제와도 연결성을 갖고 있다. 개정판에 참여한 워킹그룹으로는 CLIA(국제크루즈선사협회), ICS(국제해운협회), INTERCARGO(벌크선주협회), INTERTANKO(국제유조선주협회), IUMI(국제해상보험연맹), OCIMF(국제정유사포럼) 등이 있다.

美 코스트가드, 사이버 보안 규제 초안 마련

미국 코스트 가드(Coast Guard)는 사이버 보안문제를 미국 경제와 국가 안보에 큰 위협을 끼치는 중대 요소 중 하나로 인식하고, 지난 2015년 7월부터 ‘사이버 전략(Cyber Strategy)’이라는 대응방안을 구축했다. 코스트 가드의 사이버 해상 보안 전용 웹사이트를 통해 사이버 보안에 관한 전략적인 문서와 관련 정보를 제공하고 있으며 올 7월 12일에는 해상운송보안법(MTSA) 내의 사이버 리스크 대응 가이드라인으로 명명된 ‘항해 및 선박 점검 지침(NVIC, Navigation and Vessel Inspection Circular)’의 규제 초안을 마련해 공개했다.

NVIC 초안에는 사이버 리스크에 효과적으로 대응할 수 있는 거버넌스 프로그램과 실행방안 등이 담겨있어 선주와 오퍼레이터들이 활용할 수 있게 했다. 코스트가드는 9월 11일까지 관련업계의 의견을 받아 최종 규제안을 마련할 예정이다.